应急响应和基线配置

0x00 前言

本周是在安恒实习的第三个星期,虽然实习之后忙碌了很多但是在过程中学习到了很多很多。本周一周都在某单位进行应急响应安全排查和windows的基线配置,这些事情在平时学习的过程中根本遇不到,所以来做一下简单的归纳和总结。同时还发现了一个个人问题就是自实习之后晚上回家就变成了懒狗orz。下周一定要调整过来

由于我还是个萌新所以肯定会有很多纰漏,后面学到了新的会进行补充

0x01 基础信息

内核版本 uname -a

查看系统版本 Centos、Ubuntu lsb_release -a

cat /proc/version(通用)

0x01 Linux安全排查

linux应急排查主要从如下这几个方面来进行判断

  • 查看历史命令有无异常命令
  • 查看是否有可疑用户存在
  • 查看/var/log/secure中是否有爆破等日志记录
  • 查看是否有可疑的定时任务
  • 查看是否有可疑的网络连接
  • 查看是否有可疑的进程
  • 查看是否有可疑的自启动项目
  • 查看是否存在webshell

查看历史命令

history

cat .bash_history

查看是否存在可疑用户

查看是否存在和root一样的特权用户awk -F: '$3==0{print $1}' /etc/passwd

查看登录失败日志

lastb

查看用户登录情况

lastlog

查看是否存在可疑定时任务

crontab -l

查看是否存在可疑网络连接

netstat -anlpt

如果发现可疑连接查看对应的pid即可知道具体信息

ls -l /proc/PID/exe

image-20200718134600838

查看是否存在可疑进程

ps -aux

如发现可疑进程定位如上方法

查看可疑的开机自启程序

systemctl list-unit-files

查看是否存在webshell

可以利用edr、gscan等工具扫描然后人工进行排查

0x03 windows安全排查

windows系统的排查和linux其实整体也是大差不差的

  • 查看异常网络连接
  • 查看异常进程
  • 查看异常启动
  • 查看可疑用户
  • 查看日志

查看是否有新增可疑账号

lusrmgr.msc

查看安全日志,windows日志,安全

eventvwr.msc

查找异常端口

netstat -ano

跟进异常端口

wmic process pid

查看敏感启动项目

msconfig

0x04 汇总

Linux:
操作系统版本 lsb_release -a
用户登录情况 lastlog
查看日志文件  cat /var/log/secure 
查看爆破痕迹  grep “Failed password” /var/log/secure
记录错误登录  lastb 
用户最后一次登录的时间 lastlog 
记录用户登录注销 last
查看可以用户  awk -F: ‘$3==0{print $1}’ /etc/passwd
查看远程登录的账号 其他存在sudo权限的账号 more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" 
查看用户创建的时间 stat /home/对应用户/.bash_history
检查异常端口 netstat -antlp|more (查看可疑端口)
查看pid服务 ls -l /proc/pid号/exe
检查异常进程 ps -aux 或者 ps -ef
寻找命令 find 路径 -name “*.pyc”
检查开机启动项 runlevel
开机启动的配置文件 cat /etc/rc.local
异常进程 kill -9 对应的pid号
查看定时任务  crontab -l
删除定时任务  crontab -r
/var/spool/cron/* 
/etc/crontab 
/etc/cron.d/*
/etc/cron.daily/* 
/etc/cron.hourly/* 
/etc/cron.monthly/* 
/etc/cron.weekly/ 
/etc/anacrontab 
/var/spool/anacron/* 

Windows 
查看是否有可疑新增账号 lusrmgr.msc 
查看管理员登录时间 eventvwr.msc   windows日志 -》 安全
检查异常端口 netstat -ano 
找出对应的pid进行跟进 wmic process pid进程号
查看是否有敏感启动项目 msconfig  
日志查看时间分析器 eventvwr.msc 

0x05 windows基线配置

这个相对之前的简单很多 根据文档中的内容进行一一排查,调整时间,开启日志审核,密码次数限制等。

就是在配置过程中需要严格按照要求来,有的基线是不能修改的,改了之后就会影响正常的业务

One Reply to “应急响应和基线配置”

发表评论

电子邮件地址不会被公开。 必填项已用*标注